Linux系统如何加固_完整流程拆解让问题迎刃而解【指导】

新闻中心 NEWS CENTER

2025-12-15

浏览次数：次

Linux系统加固围绕“最小权限、及时更新、有效监控、纵深防御”四原则系统性收缩攻击面，涵盖账户认证强化、服务端口精简、文件权限加固及日志审计响应四大环节，强调可验证、可回溯、可持续的闭环实践。

linux系统如何加固_完整流程拆解让问题迎刃而解【指导】

Linux系统加固不是堆砌安全工具，而是围绕“最小权限、及时更新、有效监控、纵深防御”四个核心原则，系统性地收缩攻击面。关键不在于一步到位，而在于每一步都可验证、可回溯、可持续。

默认账户和弱密码是入侵的第一突破口。必须从登录入口开始收紧：

禁用或删除无用系统账户（如games、lp、sync），保留仅root和必要运维账号
强制密码复杂度：编辑/etc/pam.d/common-password，加入password requisite pam_pwquality.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
限制root远程登录：在/etc/ssh/sshd_config中设PermitRootLogin no，改用普通用户+sudo方式管理
启用SSH密钥登录并禁用密码登录：PubkeyAuthentication yes + PasswordAuthentication no，重启sshd生效

每个运行的服务都是潜在风险点。目标是“只开必需的，关掉所有默认多余的”：

列出当前监听端口：ss -tuln 或 netstat -tuln，重点关注非业务端口（如25、111、631）
停止并禁用无关服务：systemctl stop *ahi-daemon cups rpcbind，再执行systemctl disable ...
配置防火墙（推荐nftables）：默认策略设为DROP，仅放行业务所需端口（如80/443/22），禁止全网段SSH（如限制ip saddr 192.168.10.0/24 tcp dport 22 accept）
检查开机自启项：systemctl list-unit-files --state=enabled，逐个确认必要性

防止提权和后门驻留，需严格约束关键路径的可写性和执行权限：

达芬奇

达芬奇——你的AI创作大师

166 查看详情达芬奇

设置关键目录不可执行（noexec）和不可写（nosuid、nodev）：修改/etc/fstab，例如/tmp /var/tmp /dev/shm挂载选项追加noexec,nosuid,nodev，然后mount -o remount ...
查找并修复高危权限文件：find / -xdev -type f \( -perm -4000 -o -perm -2000 \) 2>/dev/null，只保留/bin/ping、/usr/bin/sudo等确需SUID的程序
锁定关键系统文件：chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow（操作前确保有应急恢复手段）
启用SELinux或AppArmor：CentOS/RHEL默认启用SELinux，检查状态sestatus；Ubuntu建议启用AppArmor：aa-status，并加载对应profile

没有日志的安全等于没安全。加固必须包含可观测性和快速响应能力：

集中收集关键日志：配置rsyslog或journalctl --since "2 hours ago"，将auth.log、secure、messages、audit.log同步至独立日志服务器
启用内核审计规则：编辑/etc/audit/rules.d/custom.rules，加入监控敏感操作，例如：-w /etc/passwd -p wa -k identity、-a always,exit -F arch=b64 -S execve -k execution
安装轻量级入侵检测（如aide）：初始化数据库aide --init，重命名生成库，定期校验aide --check
配置登录失败告警：用faillog -a查看失败记录，结合swatch或自定义脚本，对5分钟内超3次失败登录触发邮件/企业微信通知